マイナンバー制度に対応、ERPで実現する内部統制：IT導入完全ガイド（3/4 ページ）

2015年10月から通知が始まるマイナンバー。制度開始に備えて全ての企業でマイナンバーへの対応が必須だ。ERPが有用となる場面と実際に役立つ機能および製品選定時の注意点を解決する。

[西山 毅，レッドオウル]

安全管理措置への対応を支援する機能

　前段でも触れた通り、マイナンバー対応でERPが有用となるのは、統制の効いたシステム環境下で、セキュリティを確保しながらマイナンバーを扱う業務を一元的に実現できることだ。そこで具体的に提供されるのは、ユーザー企業に求められる安全管理措置を支援する各種機能だ。

マイナンバーの暗号化機能

　第一に必要となるのが、万が一のデータ漏えいに備えてマイナンバーそのものを暗号化しておくことだ。まずはマイナンバーを通常の社員マスターとは別に管理しておき、さらに政府が共同運営している暗号技術検討会などが、定期的に安全性を評価する暗号リストである「CRYPTREC暗号リスト（電子政府推奨暗号リスト）」にある暗号技術を利用して安全なマイナンバー管理を実現する製品がある。

図6 CRYPTREC暗号リスト掲載の暗号を採用したマイナンバーの暗号化（出典：SCSK）

アクセス認証機能

　特定個人情報であるマイナンバーは、高い機密性が求められる非常にデリケートなデータだ。そのためマイナンバーを取扱える事務実施者をあらかじめ明確にし、さらに厳密なアクセス制御やアクセス権限管理、さらにはアクセスログ管理などが求められることになる。

　製品の中には、特にアクセス認証の領域で、「電子証明書」→「利用者のID/パスワード」→「ワンタイムパスワード」という3段階認証を設定することで、より強固な事務実施者のアクセス認証を行うものもある。

図7 3段階認証によるアクセス認証機能（出典：オービックビジネスコンサルタント）

暗号化通信機能

　マイナンバーをERP本体とは切り離してクラウド上で管理する場合、マイナンバーを利用する際に事務実施者がクラウド側にアクセスして、必要なデータを取得する必要がある。その際の懸案事項となるのが通信のセキュリティだ。例えば、HTTPSによる暗号化通信によって、データの安全性を担保する仕組みも必要だ（図8）。

図8 通信データ暗号化機能※MKSはワークスアプリケーションズが提供するマイナンバー管理のためのプラットフォーム（出典：ワークスアプリケーションズ）

法定調書の作成を支援する機能

　最後に、マイナンバーを記載した法定調書を作成する機能を紹介しておこう。図9の例では、事務実施者が個人情報や金額など調書の作成に必要なデータをCSVファイルにしてオペレーションサービス上にアップすると、サービス側が自動的にクラウド上に保管されている対象者のマイナンバーを呼び出し、先のCSVファイルの情報と併せて法定調書に印字する。法定調書の作成後にはCSVファイルも自動的に削除されるので、セキュリティの観点からも安心だ。

図9 法定調書作成機能